SEARCH

苹果ATS标准服务器配置文档

2018年05月02日

根据苹果要求,所有 iOS 应用必须使用 ATS(App Transport Security),即 iOS 应用内的连接必须使用安全的 HTTPS 连接。同时,苹果要求使用的不仅是一个简单的 HTTPS 协议连接,而且必须要满足 iOS9 中的新增特性。


ATS必须满足的条件:

1. 服务器支持 TLSv 1.2 协议

2. PFS(完全正向保密)ECDHE


服务器操作系统版本要求(支持TLS1.2):

1. WIN 2008 R2 IIS 7 以上版本

2. CentOS 6+  OpenSSL 1.0.1c+

3. Apache 2.4 +

4. Nginx 1.0.6+

5. JDK1.7 

6. tomcat7.0.56+


Linux操作系统 尽量使用较新版本,TLS1.2 请根据上面版本要求升级.

连接必须使用 AES-128 或者 AES-256 加密,并且支持PFS(完全正向保密)ECDHE , Apple 推荐以下加密套件:


TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA


Apache 设置方法(必须满足上面服务器版本要求):


SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCompression off 
SSLSessionTickets Off


Nginx 设置方法(必须满足上面服务器版本要求):


ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;


Lighttpd设置方法(openssl 必须符合要求):


ssl.honor-cipher-order = "enable"
ssl.cipher-list = "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH"
ssl.use-compression = "disable"
ssl.use-sslv2 = "disable"
ssl.use-sslv3 = "disable"


配置好后,可进行苹果ATS检测,检查地址为:https://myssl.com/ats.html,通过或者符合标准的会有提示,如下图:


苹果ATS标准服务器配置文档


如有疑问,可以直接浏览苹果Apple 官方文档:

https://developer.apple.com/library/content/documentation/General/Reference/InfoPlistKeyReference/Articles/CocoaKeys.html

Contact

大同市城区西环路168号

致力于做服务最好的网站建设公司

将 " 策划+创意+体验+技术 " 完美融合 !

Wechat